107 郭亮-基于零信任體系下的SD-WAN實踐（25頁）.pdf

《107 郭亮-基于零信任體系下的SD-WAN實踐（25頁）.pdf》由會員分享，可在線閱讀，更多相關《107 郭亮-基于零信任體系下的SD-WAN實踐（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、基于零信任體系下的SDWAN實踐演講嘉賓：郭亮040102203Part1零信任概述身邊的零信任-COVID19以身份為中心健康碼就是唯一持續驗證14天軌跡動態授權碼變色，權限變化遠程辦公成為常態，安全問題層出不窮網點員工遠程訪問外拓人員開展業務外包人員遠程訪問VPN使用體驗差，自身漏洞多黑客進入VPN后可以任意攻擊總部遠程訪問專線價格高終端中毒容易感染內網人員訪問權限沒有統一管理人員訪問權限沒有統一管理缺少審計，信息泄露后無法追溯手機、pad做業務，容易泄露數據人、機無統一認證管理分支網點出差外拓、外包專線過去以防火墻的IP來做ACL。未來要以IAM的身份來做邊界。IP邊界云服務移動辦公IO

2、T設備身份邊界伙伴數據IP邊界萬物互聯時代，網絡邊界已經模糊零信任出現的原因-網絡邊界模糊，傳統手段失效什么是零信任-從零開始建立信任安全假設網絡始終充滿威脅；內外部威脅無所不在；僅僅通過網絡位置來評估信任是不夠的。目標在不可信的網絡中構建安全系統方法動態的基于身份的、細粒度的訪問控制機制對所有設備、用戶和網絡流量進行身份認證、授權ZERO TRUST SECURITY觀點1零信任建設無法一勞永逸，只有更好，沒有最好；觀點2零信任落腳點不僅僅是遠程辦公，零信任可以無所不在觀點3零信任直接買不到，需要結合甲乙方共創Part2零信任體系零信任演進2020/2:美國國家標準與技術研究院NIST發布S

3、P800-207:Zero Trust Architecture 草案 第二版NIST定義的零信任組成IAMMSGSDPNever Trust,Always Verify增強的身份管理Enhance Identity Governance軟件定義邊界Software Defined Perimeter微隔離Micro-segmentation業界定義SIM是零信任的三件套零信任安全架構及組件以身份為核心的零信任架構大樓無特權網絡不管位置都要用通過訪問代理訪問代理的單點登錄強驗證訪問代理驗證用戶設備訪問控制引擎持續給用戶打分評級谷歌零信任體系以應用身份為核心的零信任架構應用發布出來，通過身份來控

4、制誰能訪問。UEMIDP4ACESPG微軟零信任體系SPGSPG信達網安以身份為核心構建零信任體系身份可信認證身份可信認證用戶多因素身份認證持續身份認證設備可信認證設備可信認證設備初始化及注冊終端安全檢測及可信識別應用可信認證應用可信認證授權應用認證應用完整性校驗訪問評估引擎訪問評估引擎設備環境設備環境用戶信息用戶信息動態行為評估引擎動態行為評估引擎訪問行為基線評估訪問行為基線評估場景分析評估引擎場景分析評估引擎場景模型信任評估場景模型信任評估AI自學習信任評估自學習信任評估應用應用應用應用應用應用動態風險評估信任等級計算持續的行為檢測：身份、設備、行為、流量、日志等資產安全基線評估資產安全基

5、線評估時空信息時空信息業務健康狀態系統安全狀態訪問客體信任等級訪問主體信任等級基于泛身份化的可信核身訪問控制，實踐經驗輸出接入層終端移動終端控制層SSO API數據層接口服務/應用后置應用身份管理服務授權申請（ACL）業務策略和控制中心SDWAN-CPEDLP、UEBA應用授權API鑒權用戶及API認證權限列表同步及訂閱用戶異常行為A.可信狀態同步B.可信狀態變更CPE網絡準人認證身份信息服務UEM后臺管理多因子認證UEM終端管理控制面數據面信達網安的零信任自身實踐-SDWAN模型精細化授權用戶訪問權限，只能看到該看到的內網應用、API被安全代理到公網訪問合規審計SDWAN-SOC控制層數據層

6、接入層用戶越權下載機密文件：被拉黑，被通報終端中毒:終端殺毒，被拉黑終端IP變了:二次認證高強認證：指紋、人臉、OTP基于零信任體系架構解決遠程辦公問題分支網點出差SDWAN-CPESDWAN-SOCSDWAN-POP終端殺毒可信設備管理外拓、外包終端管理應用代理，可以在互聯網上訪問應用最小化授權不需要建立長連接，應用訪問更穩定人員、終端統一認證，統一管理、統一授權動態風險控制安全數據可視威脅行為可追溯SDWAN-SOCSDWAN-POPSDWAN-CPESDWAN-VCPE免VPN，提高遠程辦公體驗避免企業信息泄露暴露面收斂，提高HW效果為各類用戶提供統一SSO，提高應用訪問效率合規審計終端

7、安全終端安全終端安全Part3零信任實現SDWAN-SOC強認證和SSO單點登錄 采集多種認證因子SDWAN-SOC實現強認證；通過票據（Token）到不同應用的服務端進行認證，實現單點登錄。統一認證SDWAN-CPE-定制化訪問策略可以從多個維度制定應用的訪問策略環境IP終端時段流量每IP連接數全局并發數請求大小超時時間下載速度URL角色/身份策略CPE-可視化日志審計日志是安全記錄以及分析的重要素材，應用CPE網關將所有管理員操作日志和外部訪問日志保存在持久數據庫中，并提供圖形界面進行多條件查詢索引，同時提供圖形化的訪問量和自身狀態的圖示。CPE全場景的網絡準入能力網關出口設備注冊認證、安

8、全入網郵件Ukey申請，自定義個性化企業ID，方便用戶快速注冊激活；設備身份多因素認證SDWAN-SOC證書下發證書雙向校驗安全入網1.可信設備管理2.設備安全管理3.實時合規監測3.實時合規監測2.設備安全管理1.可信設備登記可信設備管理提供設備指紋ID管理、注冊、凍結入網、刪除等安全管理能力PC設備正常凍結已刪除BYOD設備正常CPE可信終端管理Part4零信任實踐入控制層數據層數據域安全訪問平臺用戶接入區SSO單點登錄SOC終端IDPS應用后置SECPOP認證服務業務安全策略控制服務ACL環境感知服務權限管理服務CPE（ACS）行為代理數據流控制流認證策略下發動態策略下發權限查詢代理用戶認證IDPS策略同步可信設備狀態同步策略下發狀態查詢動態策略下發SDWAN安全4件套：SOC+ACS+SECPOP+IDPSSDWAN零信任實踐THANKS